vSwitch getagged anfahren

[MarroniJohny]

Hi

Habe eine pfsense, wo ich ein paar vLAN eingerichtet habe. Von der aus fahre ich getagged auf meinen ESXi. Im Linux Gast bekomme ich vom DHCP Server eine Adresse zugewiesen, im Windows Gast nicht. Wenn ich im Windows Gast eine fixe IP einstelle, kann ich das Linux aber pingen, welches per DHCP die Adresse bezogen hat. Habe am Windows auch alle möglichen Adapter Typen getestet, überall selbes Ergebnis.

Den Gateway selber kann ich nicht pingen. Auf der FW selbst aber schon. Raus komme ich nirgends.

Hat da wer eine Idee? Da an dem port einen physischen Switch stöpseln könnte man machen. Aber ich wäre froh, wenn das mal am ESXi funktionieren würde, ohne dass ich da jetzt gross Geräte anschleppen und verkabeln muss.

Gruss und danke

[MarroniJohny]

[~thc]

Auf dem ESXi wird durch die VLAN ID der Portgruppe der Tag beim Transfer hinzugefügt bzw. entfernt - die VM bekommt also davon nichts mit.

Auf der pfSense aber nicht. Das heißt, du kannst immer nur die Instanzen in einem VLAN erreichen (Linux <-> Windows VM). Der Router gehört vermutlich zu keinem VLAN ("Raus komme ich nirgends."). Die ganze Konstruktion beruht vermutlich auf falschen Annahmen.

[MarroniJohny]

Hmmm, ok danke. Was meinst Du denn damit? Ich kann den vSwitch aber schon getagged anfahren? Also so, wie wenn ein pSwitch dazwischen hängen-, und von dem mit 4 Strippen weiter auf den ESXi gefahren würde? Die VMs sollen auch nichts von den VLANS mitbekommen.

Weil so sieht es im Moment noch aus, allerdings nur mit 1 GbE:

Wollte mit der neuen Firewall auf den Switch verzichten.

In den VMs von oben habe ich in der VM selber VLAN mässig nichts eingestellt. Nur einfach den VLAN Tag bei den Portgruppen vom vSwitch gesetzt. Dachte, das verhält sich so wie ein pSwitch, auf den man getagged fährt.

Falls das nicht geht mit dem getagged auf den ESXi fahren, wäre das nämlich eine mittlere Katastrophe. Weil habe da viel Geld investiert für die neue Firewall, und würde gerne auf einen Switch verzichten, wenn das geht.

[~thc]

Also - VLAN "101" - Kurzfassung: Untagged VLAN funktioniert wie farbig markierte Gruppen von Ports am Switch - nur diese können untereinander kommunizieren. Tagged VLAN funktioniert wie farbig markierte Netzwerkpakete - die Kommunikationsendpunkte müssen mit diesen VLANs konfiguriert sein, damit die Pakete weitergereicht werden. VLAN "4095" transportiert alle VLAN IDs und VLAN "0" diese ganz ohne Tag.

Einem vSwitch sind VLANs Wurst. Eine vSwitch-Portgruppe nimmt die Pakete entsprechend der ID an und entfernt/setzt sie aber.

Deine pfSense muss so konfiguriert sein, dass sie alle VLAN IDs auf dem ESXi-Uplink annimmt (Entweder durch setzen aller VLAN IDs oder einer Catchall-VLAN-ID) und dann auch zu den anderen Ports (Provider Router) routet. Einfach die IDs setzen reicht nicht.

[MarroniJohny]

Okay, habe es soweit mal mit den VLANs hin gekriegt. Bin in dem Zug noch auf die opnsense gewechselt, mit der hatte ich eh mehr Durchsatz.

Zum Glück mangelt es manchmal am Kleingeld, und ich habe nicht mal einfach so auf gut Glück den Hoster gewechselt. Aber da nehme ich mir dann eh 2 Monate parallel, dann kann ich bisschen testen, ohne dass der ganze Christbaum gleich offline geht.

Aber mit der opnsense muss ich mich glaube ich recht reinfuchsen noch. Das kann man nicht einfach so von der Zywall 1:1 ummünzen.